Neue PCI DSS Anforderungen für Händler – was du jetzt beachten solltest
Ab April 2025 gelten neue Anforderungen des PCI DSS (Payment Card Industry Data Security Standard). Für viele Händler stellt das Thema eine zusätzliche Komplexität dar – wir geben dir einen Überblick, worauf du dich einstellen solltest und wie Shopware dich dabei unterstützt.
Wer ist betroffen?
Wenn du einen Onlineshop betreibst und Kreditkartenzahlungen direkt oder indirekt (z. B. über Zahlungsanbieter wie PayPal oder Stripe) akzeptierst, bist du potenziell betroffen. Oft verlangen Zahlungsdienstleister oder Kreditinstitute von ihren Geschäftspartnern die Einhaltung der PCI DSS-Anforderungen, um eigene Risiken zu minimieren. Dabei geht es nicht nur um Vertragsvorgaben: Bei Missbrauch von Zahlungsdaten oder Sicherheitslücken können hohe Strafen drohen.
Was ist PCI DSS?
Der PCI DSS ist ein Sicherheitsstandard der Kreditkartenindustrie, der den Schutz von Zahlungsinformationen gewährleisten soll. Die Anforderungen umfassen u. a.:
Netzwerksicherheit
Wartung und Schwachstellenmanagement
Zugriffsschutz und Überwachung
Technische und organisatorische Maßnahmen
Die Umsetzung kann je nach Zahlungsanbieter, Shop-Setup und Transaktionsvolumen unterschiedlich aussehen. Oft reicht eine Selbstauskunft (SAQ), in anderen Fällen ist eine Prüfung durch einen Qualified Security Assessor (QSA) oder regelmäßige Sicherheitsscans nötig.
Was ist neu?
Seit Oktober 2024 gilt die Version 4.0.1 des PCI DSS Standards. Ab April 2025 müssen alle Rezertifizierungen nach dieser neuen Version erfolgen.
Wichtig: Für Händler mit externem Zahlungsdienstleister wurde der relevante Fragebogen (SAQ-A) im Januar 2025 angepasst. Einige Kontrollen wurden gestrichen – allerdings ist es in der Verantwortung des Händlers, schriftlich zu bestätigen, dass keine sensiblen Zahlungsdaten ausgelesen werden können.
Auch weiterhin verpflichtend ist ein Sicherheitsscan pro Quartal durch einen Approved Scanning Vendor (ASV).
Was bedeutet das konkret für Shopware-Händler?
Mit Shopware hast du eine sichere und flexible Grundlage, um PCI DSS-Anforderungen umzusetzen – insbesondere, wenn du Zahlungsdienstleister einsetzt, die bereits PCI-zertifiziert sind.
Unsere Plattform ist so konzipiert, dass du sensible Zahlungsdaten nicht selbst speichern musst – ein wichtiger Punkt, um deinen PCI-Aufwand zu reduzieren. Durch externe Payment-Lösungen und die flexible API-Architektur von Shopware bleibt der sensible Zahlungsverkehr klar abgegrenzt.
Darüber hinaus arbeiten wir aktuell daran, Compliance-Prozesse für unsere Händler weiter zu vereinfachen. Hierzu evaluieren wir Partnerschaften und zusätzliche Services, die dir noch mehr Sicherheit und Unterstützung bieten könnten.
Wir empfehlen dir:
Prüfe deine vertraglichen Verpflichtungen mit Zahlungsdienstleistern und Kreditinstituten.
Setze regelmäßige Sicherheitsmaßnahmen um: Halte deine Shopware-Installation, Erweiterungen und Plugins aktuell.
Nutze sichere Passwörter und prüfe Zugriffsbeschränkungen.
Überprüfe, ob du den SAQ-A korrekt ausfüllst und ggf. Unterstützung durch einen Qualified Security Assessor (QSA) benötigst.
Fazit
Datensicherheit ist kein "Nice-to-have" – sie ist essenziell für den Erfolg deines Shops. Kreditkartenzahlungen und digitale Shopping-Erlebnisse gehören zusammen, genauso wie die Verantwortung, Zahlungsinformationen zu schützen.
Mit Shopware bist du technisch gut aufgestellt, um die PCI DSS-Vorgaben zu erfüllen – insbesondere durch die Integration sicherer, externer Zahlungsdienstleister und unsere moderne Plattformarchitektur.
Zudem arbeiten wir daran, dir zukünftig noch mehr Unterstützung und Services für Compliance-Themen zu bieten, damit du dich auf das konzentrieren kannst, was zählt: dein Geschäft und dein Wachstum.
Verpasse keine weiteren Infos:
Erfahre hier mehr über unsere Payment-Partner und -Schnittstellen
Abonniere unseren Newsletter, um zukünftige Updates zu diesem Thema zuerst zu erfahren
FAQ: PCI DSS für Onlineshops – Häufige Fragen
Für welche Länder gilt PCI DSS?
Der PCI DSS ist ein globaler Sicherheitsstandard und gilt weltweit für alle Händler, die Kreditkartenzahlungen akzeptieren – unabhängig vom Land. Händler werden in der Regel von ihren Zahlungsdienstleistern oder Kreditinstituten verpflichtet, den Standard einzuhalten.
Bin ich als Shopware-Händler verpflichtet, PCI DSS zu erfüllen?
Ob du den PCI DSS erfüllen musst, hängt von deinem Zahlungsdienstleister und den vertraglichen Vorgaben ab. Wenn du mit externen, PCI-zertifizierten Payment Providern arbeitest, reduziert sich dein Aufwand erheblich. Shopware selbst speichert keine sensiblen Kreditkartendaten und bietet dir eine flexible, sichere Basis für die Einhaltung der Anforderungen.
Was passiert, wenn ich PCI DSS nicht erfülle?
Bei Verstößen gegen PCI DSS können Strafen durch Zahlungsdienstleister drohen, Vertragsbeziehungen gekündigt werden oder wirtschaftliche Schäden entstehen. Auch das Vertrauen deiner Kundschaft könnte leiden. Daher lohnt es sich, die Anforderungen ernst zu nehmen und regelmäßig zu überprüfen.
